Le seguenti soluzioni di gestione e federazione per l'accesso Web sono state testate per le organizzazioni Webex. I documenti collegati di seguito illustrano come integrare uno specifico provider di identità (IdP) con la tua organizzazione Webex.

Queste guide descrivono l'integrazione SSO per i servizi Webex gestiti in Control Hub ( https://admin.webex.com). Se stai cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), leggi Configurazione del Single Sign-On per Amministrazione Webex.

Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.

Se il tuo IdP non è elencato di seguito, segui i passaggi di alto livello nella scheda Impostazione SSO in questo articolo.

Il Single Sign-On (SSO) consente agli utenti di accedere a Webex in modo sicuro eseguendo l'autenticazione nel provider di identità comune (IdP) della tua organizzazione. L'App Webex utilizza il servizio Webex per comunicare con il servizio di identità della piattaforma Webex. Il servizio di identità esegue l'autenticazione con il provider identità (IdP).

Devi quindi iniziare la configurazione in Control Hub. Questa sezione contiene i passaggi generici di alto livello per l'integrazione di un IdP di terze parti.

Quando configuri SSO con il tuo IdP, puoi mappare qualsiasi attributo a uid. Ad es. puoi mappare l'userPrincipalName, un alias e-mail, un indirizzo e-mail alternativo o qualsiasi altro attributo appropriato a uid. L'IdP deve corrispondere a uno degli indirizzi e-mail dell'utente a uid quando effettua l'accesso. Webex supporta il mapping fino a 5 indirizzi e-mail a uid.

Si consiglia di includere lo SLO (Single Log Out) alla configurazione dei metadati durante l'impostazione della federazione SAML Webex. Questo passaggio è fondamentale per garantire che i token utente vengano invalidati sia per il provider di identità (IdP) che per il provider di servizi (SP). Se questa configurazione non viene eseguita da un amministratore, Webex avvisa gli utenti di chiudere il browser per invalidare qualsiasi sessione lasciata aperta.

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:

  • Impostare l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transiente

  • Configurazione di una richiesta sull'IdP in base al tipo di SSO che stai distribuendo:

    • SSO (per un'organizzazione): se stai configurando SSO per conto di un'organizzazione, configura la richiesta IdP per includere il nome attributo uid con un valore mappato per l'attributo scelto in Directory Connector o l'attributo utente corrispondente a quello scelto nel servizio di identità Webex (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente).

    • SSO partner (solo per provider di servizi): se sei l'amministratore del provider di servizi che sta configurando SSO partner che verrà utilizzato dalle organizzazioni di clienti gestite dal provider di servizi, configura la richiesta IdP per includere l'attributo posta (invece di uid). Il valore deve effettuare il mapping per l'attributo scelto in Directory Connector o per l'attributo utente corrispondente a quello scelto nel servizio di identità Webex.

    Per ulteriori informazioni sul mapping degli attributi personalizzati per SSO o SSO partner, vedi https://www.cisco.com/go/hybrid-services-directory.

  • Solo SSO partner. Il provider di identità deve supportare vari URL del servizio Assertion Consumer Service (ACS). Per esempi su come configurare vari URL del servizio ACS su un provider di identità, vedi:

  • Utilizzo di un browser supportato: raccomandiamo l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitazione di eventuali blocchi popup nel browser.

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, viene documentata la procedura di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sono validi per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Devi stipulare un contratto SAML tra il servizio di identità della piattaforma Webex e il tuo IdP.

Per stipulare correttamente un contratto SAML sono necessari due file:

  • Un file di metadati dall'IdP, da fornire a Webex.

  • Un file di metadati da Webex, da fornire all'IdP.

Flusso di scambio di file di metadati tra Webex e il provider identità.

Questo è un esempio di file di metadati PingFederate con i metadati dell'IdP.

Screenshot di un file di metadati PingFederate che mostra i metadati del provider identità.

File di metadati dal servizio di identità.

Screenshot del file di metadati dal servizio di identità.

Ecco quello che potrai vedere nel file di metadati dal servizio di identità.

Screenshot del file di metadati dal servizio di identità.

  • EntityID: viene utilizzata per identificare il contratto SAML nella configurazione IdP

  • Non è necessaria una richiesta AuthN firmata o eventuali asserzioni firmate; è conforme a ciò che l'IdP richiede nel file di metadati.

  • Un file di metadati firmato per l'IdP per verificare che i metadati appartengano al servizio di identità.

Screenshot di un file di metadati firmato per il provider identità per verificare che i metadati appartengano al servizio di identità.

Screenshot di un file di metadati firmato usando Okta.

1

Dalla vista cliente in Control Hub ( https://admin.webex.com), vai a Gestione > Impostazioni organizzazione, scorri fino a Autenticazione e fai clic su Attiva SSO per avviare la configurazione guidata.

2

Seleziona Webex come IdP e fai clic su Avanti.

3

Seleziona Ho letto e compreso come funziona Webex IdP e fai clic su Avanti.

4

Impostare una regola di indirizzamento.

Una volta aggiunta una regola di indirizzamento, l'IdP viene aggiunto e visualizzato nella scheda Provider identità .
Per ulteriori informazioni, fai riferimento a SSO con più IdP in Webex.

Se hai ricevuto un avviso su un certificato in scadenza o se desideri controllare la configurazione SSO esistente, puoi utilizzare le Funzioni di gestione Single Sign-On (SSO) in Control Hub per le attività di gestione dei certificati e di manutenzione SSO generale.

Se dovessi riscontrare problemi con l'integrazione SSO, utilizza i requisiti e la procedura in questa sezione per risolvere i problemi del flusso SAML tra il tuo IdP e Webex.

  • Utilizzare il componente aggiuntivo SAML Tracer per Firefox, Chrome o Edge.

  • Per risolvere i problemi, utilizza il browser Web in cui è installato lo strumento di debug della traccia SAML e vai alla versione Web di Webex all'indirizzo https://web.webex.com.

Di seguito è riportato il flusso di messaggi tra l'App Webex, i servizi Webex, il servizio di identità della piattaforma Webex e il provider di identità (IdP).

Flusso SAML tra App Webex, servizi Webex, servizio di identità della piattaforma Webex e provider di identità.
1

Vai a https://admin.webex.com e, con SSO abilitato, l'app richiede un indirizzo e-mail.

Schermata di accesso a Control Hub.

L'app invia le informazioni al servizio Webex che verifica l' indirizzo e-mail.

Informazioni inviate al servizio Webex per la verifica dell'indirizzo e-mail.

2

L'app invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità per il flusso SSO o nome utente e password. Viene restituito l'URL per il server di autenticazione.

Puoi visualizzare la richiesta GET nel file della traccia.

Ottieni i dettagli della richiesta nel file di registro.

Nella sezione parametri il servizio cerca un codice OAuth, l'e-mail dell'utente che ha inviato la richiesta e altri dettagli OAuth, ad es. ClientID, redirectURI e Scope.

Sezione parametri che visualizza i dettagli OAuth come ClientID, redirectURI e Scope.

3

L'App Webex richiede un'asserzione SAML dall'IdP usando un POST HTTP SAML.

Quando SSO è abilitato, il motore di autenticazione nel servizio di identità reindirizza l'URL IdP per SSO. L'URL IdP è stato fornito durante lo scambio dei metadati.

Il motore di autenticazione reindirizza gli utenti all'URL del provider identità specificato durante lo scambio dei metadati.

Accedi allo strumento di tracciamento per individuare un messaggio POST SAML. Puoi visualizzare un messaggio POST HTTP per l'IdP richiesto dall'IdPbroker.

Messaggio POST SAML al provider identità.

Il parametro RelayState mostra la risposta corretta dall'IdP.

Parametro RelayState che mostra la risposta corretta del provider identità.

Rivedi la versione di decodifica della richiesta SAML; non è presente alcun mandato di AuthN e la destinazione della risposta deve essere l'URL di destinazione dell'IdP. Assicurati che il formato nameid sia configurato correttamente nell'IdP con l'entityID corretto (SPNameQualifier)

Richiesta SAML che mostra il formato nameid configurato nel provider identità.

Viene specificato il formato nameid IdP e il nome del contratto viene configurato al momento della creazione del contratto SAML.

4

L'autenticazione per l'app avviene tra le risorse Web del sistema operativo e il provider di identità.

A seconda dell'IdP e dei meccanismi di autenticazione configurati nell'IdP, l'IdP avvia flussi differenti.

Segnaposto del provider di identità per la tua organizzazione.

5

L'app reinvia un POST HTTP al servizio di identità e include gli attributi forniti dall'IdP e concordati nel contratto iniziale.

Quando l'autenticazione ha esito positivo, l'app invia le informazioni in un messaggio POST SAML al servizio di identità.

Messaggio POST SAML per il servizio di identità.

Il valore RelayState è uguale al messaggio POST HTTP precedente in cui l'app indica all'IdP quale EntityID sta richiedendo l'asserzione.

Messaggio POST HTTP che indica quale EntityID sta richiedendo l'asserzione al provider identità.

6

Asserzione SAML da IdP a Webex.

Asserzione SAML dal provider di identità a Webex.

Asserzione SAML dal provider di identità a Webex.

Asserzione SAML dal provider di identità a Webex: Formato NameID non specificato.

Asserzione SAML dal provider di identità a Webex: E-mail formato ID nome.

Asserzione SAML dal provider di identità a Webex: Transiente formato NameID.

7

Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.

Dopo che il servizio di identità convalida la risposta dell'IdP, emette un token OAuth che consente all'App Webex di accedere ai diversi servizi Webex.

Token OAuth che consente all'app Webex di accedere ai diversi servizi Webex.